国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞610个，互联网上出现“Kirby CMS跨站脚本漏洞、Setor Informatica SIL跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

消保课堂丨交通银行信用卡与客户共筑金融安全防线

在任何平台、机构进行业务办理的过程中，都应对服务人员身份进行多方验证，选择官方渠道办理。>>详细

反诈识诈 安全支付丨游戏皮肤免费领取？小心骗局！

提醒孩子不可轻信陌生人，不随意向陌生银行账户转账。做好反诈防骗教育的同时，不将自己的手机支付密码、银行卡密码等重要信息告知孩子。>>详细

反诈识诈 安全支付丨擦亮反诈眼，警惕“百万医疗险”骗局！

日常牢记“三不一多”，未知链接不点击、陌生来电不轻信、个人信息不透露、转账汇款多核实。>>详细

警银紧密协作 筑牢“防护网”——吉林银行成功拦截47万涉诈资金

吉林银行在人民银行吉林省分行、吉林省反诈中心指导下，坚持精准防控，加强警银联动，积极开展电信网络诈骗“资金链”治理工作。>>详细

风险提示 | 警惕AI新型技术诈骗

网络渠道“眼见”不一定为实。“拟声”“换脸”等合成技术的一大特点即“以假乱真”，不法分子可利用此类技术轻易伪装成他人，并通过快速筛选目标人群、定制化诈骗脚本，精准实施诈骗。>>详细

小宝第一线 | 时刻警惕网络诈骗，机智阻止“杀猪盘”陷阱

网络诈骗无处不在，需要时刻保持警惕，记住“三不一多”原则：未知链接不点击、陌生来电不轻信、个人信息不透露、转账汇款多核实。>>详细

防骗宣传丨“游戏皮肤免费领取”类诈骗案例及宣防要点

切勿轻信陌生人发来的“免费领取游戏皮肤、装备”等信息，不要随意扫描二维码、点击不明链接，更不要向陌生人透露身份证号、银行卡号、支付账户及密码、验证码等隐私信息。>>详细

【风险提示】家里长辈，请收好这份使用手机银行安全风险提示

随着交易支付手段的普及，越来越多的人选择网上转账。然而，由于一些家里长辈使用智能手机不熟练，或者不太懂网络支付，风险防范意识也较薄弱。这种便捷的转账方式便让许多不法分子有了可乘之机。那么，想要安全的使用手机银行应该注意哪些方面呢？>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年4月15日-21日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞610个，其中高危漏洞234个、中危漏洞362个、低危漏洞14个。漏洞平均分值为6.21。上周收录的漏洞中，涉及0day漏洞548个（占90%），其中互联网上出现“Kirby CMS跨站脚本漏洞、Setor Informatica SIL跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apache产品安全漏洞

Apache Zeppelin是美国阿帕奇（Apache）基金会的一款基于Web的开源笔记本应用程序。该程序支持交互式数据分析和协作文档。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过替换Apache Zeppelin中的现有注释，绕过身份验证，通过发送特制请求，导致拒绝服务条件等。

CNVD收录的相关漏洞包括：Apache Zeppelin输入验证错误漏洞（CNVD-2024-17935、CNVD-2024-17934、CNVD-2024-17937、CNVD-2024-17936）、Apache Zeppelin代码执行漏洞、Apache Zeppelin安全绕过漏洞、Apache Zeppelin代码注入漏洞（CNVD-2024-17938、CNVD-2024-17940）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apple产品安全漏洞

Apple iOS和Apple iPadOS都是美国苹果（Apple）公司的产品。Apple iOS是一套为移动设备所开发的操作系统。Apple iPadOS是一套用于iPad平板电脑的操作系统。Apple macOS Ventura是一个桌面操作系统。Apple macos是一套操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，导致拒绝服务，能够使用内核权限执行任意代码等。

CNVD收录的相关漏洞包括：Apple iOS and iPadOS代码执行漏洞、Apple macOS Ventura竞争条件问题漏洞、Apple macOS Ventura拒绝服务漏洞、Apple macOS Ventura资源管理错误漏洞（CNVD-2024-17855）、Apple多款产品缓冲区溢出漏洞、Apple macos缓冲区溢出漏洞（CNVD-2024-17858）、Apple macOS安全特征问题漏洞（CNVD-2024-17859）、Apple iOS和Apple iPadOS缓冲区溢出漏洞。其中，“Apple iOS and iPadOS代码执行漏洞、Apple多款产品缓冲区溢出漏洞、Apple iOS和Apple iPadOS缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。上周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2024-17888、CNVD-2024-17892、CNVD-2024-17891、CNVD-2024-17890、CNVD-2024-17896、CNVD-2024-17895、CNVD-2024-17894、CNVD-2024-17893）。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Edge是美国微软（Microsoft）公司的一款Windows 10之后版本系统附带的Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，进行欺骗攻击，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft Edge (Chromium-based)欺骗漏洞（CNVD-2024-17969、CNVD-2024-17971）、Microsoft Edge (Chromium-based)安全功能绕过漏洞（CNVD-2024-17970、CNVD-2024-17978）、Microsoft Edge for Android (Chromium-based)信息泄露漏洞、Microsoft Edge (Chromium-based)信息泄露漏洞（CNVD-2024-17973、CNVD-2024-17975）、Microsoft Edge (Chromium-based)远程代码执行漏洞（CNVD-2024-17976）。其中，“Microsoft Edge (Chromium-based)信息泄露漏洞（CNVD-2024-17975）、Microsoft Edge (Chromium-based)远程代码执行漏洞（CNVD-2024-17976）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tenda W20E栈缓冲区溢出漏洞

Tenda W20E是一款由Tenda公司开发的无线路由器，主要用于提供无线网络连接和管理功能。上周，Tenda W20E被披露存在栈缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apache产品被披露存在多个漏洞，攻击者可利用漏洞通过替换Apache Zeppelin中的现有注释，绕过身份验证，通过发送特制请求，导致拒绝服务条件等。此外，Apple、Adobe、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，通过注入精心设计的有效载荷执行任意Web脚本或HTML，在系统上执行任意代码，导致拒绝服务等。另外，Tenda W20E被披露存在栈缓冲区溢出漏洞。攻击者可利用漏洞执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、交通银行、兴业银行、吉林银行、晋商银行、杭州银行微讯、泉州银行、柳州银行微银行报道

责任编辑：韩希宇